1. EL REGLAMENTO EUROPEO DE
PROTECCIÓN DE DATOS
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO DE 27
DE ABRIL DE 2016 RELATIVO A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO
QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y A LA LIBRE
CIRCULACIÓN DE ESTOS DATOS (RGPD)
2. 2016 - 2018 PERIODO DE TRANSICIÓN
Entrada en vigor el 25
de mayo de 2016
Aplicación obligatoria
a partir de mayo de
2018
Necesidad de adaptar
las operaciones
iniciadas antes de
mayo de 2018
3. PRINCIPALES NOVEDADES CON RESPECTO A LA
LOPD
• Licitud del tratamiento: bases de legitimación
• Transparencia de las operaciones del tratamiento: cumplimiento del deber de informar
• Nuevos derechos de los interesados
• Seguridad de los datos: responsabilidad proactiva (accountability), privacidad desde el diseño y por
defecto (Privacy by desing and by default)
• Obligaciones materiales: RAT, Política de protección de datos, DPO, evaluación de impacto.
• Relaciones contractuales: encargo del tratamiento
• Transferencias internacionales
• Régimen sancionador
4. CONCEPTO DE DATO PERSONAL
ART. 4.1
Toda información sobre una persona física:
• Identificada: directamente
• Identificable: directa o indirectamente
“toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular
mediante un identificador, como por ejemplo un nombre, un número de identificación, datos
de localización, un identificador en línea (…)”
5. RESPONSABLE VS ENCARGADO DEL TRATAMIENTO
RESPONSABLE DEL TRATAMIENTO: la persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o junto con otros, determine los fines y medios del
tratamiento
ENCARGADO DEL TRATAMIENTO: la persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del responsable del
tratamiento, bajo sus directrices en cuanto a los fines y los medios del tratamiento de los
datos.
EJEMPLO: la empresa X es Responsable del tratamiento de los datos de sus empleados,
en tanto recaba los datos en su propio nombre y decide sobre la modalidad del
tratamiento de los mismos; la gestoría Y que X tiene contratada para la gestión de
nóminas de sus empleados, es encargada del tratamiento en tato tiene acceso a esos
datos para prestar el servicio contratado.
6. LICITUD DEL TRATAMIENTO
ART. 6-10
El tratamiento de datos de carácter personal deberá estar legitimado por alguna de
las siguientes bases:
• CONSENTIMIENTO del interesado para fines específicos
• El tratamiento es necesario:
o Para la ejecución de un contrato o medidas precontractuales
o Cumplimiento de una obligación legal
o Para proteger intereses vitales (interesado o tercero)
o Para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos
o Para la satisfacción del interés legítimo
7. CONSENTIMIENTO
EXPRESO E INEQUÍVOCO mediante una
manifestación del interesado o una clara acción
afirmativa (excluye tácito o por omisión)
EXPLÍCITO: datos sensibles, adopción de
decisiones automatizadas y transferencias
internacionales
LIBRE E INFORMADO
DEMOSTRABLE: el responsable debe poder
demostrar que lo obtuvo
REVOCABLE: deberá ser tan fácil retirar el
consentimiento como darlo
8. TRANSPARENCIA: CUMPLIMIENTO DEL DEBER DE
INFORMAR
ART. 13-1
El Responsable del tratamiento
de los datos, ha de proporcionar
al interesado antes de proceder al tratamiento
de sus datos
INFORMACIÓN
Concisa
Transparente
Inteligible
De fácil acceso
Con un lenguaje claro y sencillo,
Por escrito, verbalmente o por otros medios
9. Información que se debe proporcionar al interesado:
• La existencia del fichero o tratamiento, su finalidad y destinatarios.
• El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
• La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
• La identidad y datos de contacto del responsable del tratamiento.
• Los datos de contacto del Delegado de Protección de Datos, en su caso,
• La base jurídica o legitimación para el tratamiento,
• El plazo o los criterios de conservación de la información,
• La existencia de decisiones automatizadas o elaboración de perfiles,
• La previsión de transferencias a Terceros Países
• El derecho a presentar una reclamación ante las Autoridades de Control
• El origen de los datos
• Las categorías de los datos
10. DERECHOS DE LOS INTERESADOS
LOPD
Derechos ARCO
RGPD
1. Acceso
2. Rectificación
3. Cancelación
4. Oposición
1. Acceso
2. Rectificación
3. Supresión o derecho al olvido
4. Oposición
5. Limitación al tratamiento
6. Portabilidad
11. CONSIDERANDO 11- PROTECCIÓN EFECTIVA
OBJETIVO:
PROTECCIÓN EFECTIVA
EXIGE QUE SE REFUERCEN Y
ESPECIFIQUEN LOS DERECHOS
(interesados) Y OBLIGACIONES
(responsables)
PROCEDIMIENTO
GRATUITO
SENCILLO
PLAZO ÚNICO
12. SEGURIDAD DE LOS DATOS
Desaparecen las medidas de seguridad que el
Reglamento de desarrollo de la LOPD imponía en función
del nivel de seguridad de los datos tratados.
Habrá que documentar los riesgos teniendo en cuenta las
medidas ya implantadas, y analizar la efectividad de las
mismas. ¿Responden a los riesgos y a lo previsto en el
RGPD?
Gestión del riesgo: definir las medidas a implantar en
función de las debilidades detectadas (posibilidad de
destrucción, pérdida o alteración accidental o ilícita,
comunicación o acceso no autorizado, etc.)
Medidas de seguridad: deben garantizar la
confidencialidad, integridad, disponibilidad, y
recuperación de forma rápida de la información.
Cambio de una
perspectiva reactiva,
a preventiva
13. SEGURIDAD DE LOS DATOS
El Responsable deberá
aplicar medidas técnicas y
organizativas que considere
apropiadas para garantizar
y demostrar que el
tratamiento que realiza es
conforme con el RGPD,
teniendo en cuenta la
naturaleza, el ámbito, el
contexto y los fines del
tratamiento así como los
riesgos para los derechos y
libertades de las personas
físicas.
ACCONUNTABILITY
Principio que supone la
necesidad de aplicar
desde la fase inicial de
planificación, las
medidas necesarias
que garanticen la
seguridad de la
información.
PRIVACY BY
DESING
Implica ofrecer
garantías de
privacidad por
defecto:
-Minimización de los
datos
-Control de accesos
-Plazos de
conservación definidos
-Transparencia
PRIVACY BY
DEFAULT
14. GESTIÓN DE INCIDENCIAS
ART. 33-34
Obligación de notificar a la autoridad de control las violaciones de seguridad:
• En caso de producirse una violación de la seguridad de los datos, esta debe notificarse si la
violación de la seguridad constituye un riesgo para los derechos y libertades de las personas
afectadas.
• “Sin dilación indebida”, máximo 72 horas a partir de que tenga constancia
• Si la detecta el encargado de tratamiento debe notificarlo al responsable del tratamiento
“sin dilación indebida” en el plazo establecido en el contrato de encargo del tratamiento.
15. POLÍTICA DE PROTECCIÓN DE DATOS
1. Ámbito subjetivo de aplicación
2.Alcance
3.Protocolos para la creación y modificación de
tratamientos
4.Respecto de los principios de protección de datos
5.Respecto de los derechos de las personas interesadas
6.Responsabilidades de la dirección
7.Responsabilidades de los empleados
8.La gestión de riesgos
9.Declaraciones sobre la seguridad de los datos
10.Aplicación del principio de responsabilidad proactiva
11.Organización para la gestión de la protección de
datos
12.Verificación del cumplimiento de la política y su
revisión
ART. 24.2
Constituye una obligación para el Responsable del tratamiento cuando resulte proporcionado a las
actividades del tratamiento.
CONTENIDO MÍNIMO
16. REGISTRO DE ACTIVIDADES DEL TRATAMIENTO (RAT)
OBLIGACIÓN MATERIAL DEL RESPONSABLE QUE SUSTITUYE LA OBLIGACIÓN DE LA LOPD
15/1999 DE NOTIFICAR FICHEROS JURÍDICOS A LA AEPD
¿CUÁNDO?
A) >250 empleados (siempre)
B) < 250 empleados:
1.Si entraña riesgo para los derechos y libertades
2.Si el tratamiento no es ocasional
3.Si se tratan categorías especiales de datos
(art.9.1)
4.Si se tratan datos relativos a condenas o
infracciones penales (art. 10)
¿CÓMO?
A partir de los ficheros ya registrados
(detallando las operaciones)
-En torno a operaciones de tratamiento
concretas que tienen una finalidad común
-Podrá organizarse en torno a conjuntos
estructurados de datos
-por “escrito”, lo que obviamente incluye el
formato electrónico
UTILIDAD
Para demostrar la conformidad con el presente
Reglamento, el responsable o el encargado del
tratamiento debe mantener registros de las
actividades de tratamiento bajo su responsabilidad.
Todos los responsables y encargados están
obligados a cooperar con la autoridad de control y
a poner a su disposición, previa solicitud, dichos
registros, de modo que puedan servir para
supervisar las operaciones de tratamiento.”
18. DELEGADO DE PROTECCIÓN DE DATOS
ART. 37-39
• Designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos
especializados del Derecho y la práctica en materia de protección de datos.
• Podrá ser interno (de la plantilla del Responsable del tratamiento) o externo (mediante contrato de
prestación de servicios)
• Notificación: el Responsable deberá publicar los datos de contacto del DPO externa e internamente, así
como comunicar los datos de contacto a la APD la identidad del DPD
• Infracciones por parte del Responsable: serán hechos constitutivos de infracción la no designación de
DPO en caso de obligación, impedir o interferir en sus funciones, y no comunicar los datos de contacto.
19. Sector público (no tribunales)
Responsables y encargados del
tratamiento cuya actividad principal
consista en
Observación habitual y sistemática a gran escala
Categorías especiales de datos y relativos a
condenas penales e infracciones penales a gran
escala
Otros supuestos previstos por los estados o derecho de la UE (art. 37.4)
Designación voluntaria
DESIGNACIÓN del DPO
20. FUNCIONES DEL DPO
Respecto de RT y ET, asesorar,
informar y supervisar
-En relación a las obligaciones previstas
en el RGPD y otras disposiciones
-En relación al cumplimiento
-En relación a las Evaluaciones de
Impacto
Respecto de la
autoridad de
control
-Cooperar
-Servir de punto de
contacto
Respecto de las
personas afectadas:
-Atender ejercicio de
derechos y cuestiones
relacionadas con el
tratamiento de los datos
21. CONTRATOS ENTRE RESPONSABLES Y
ENCARGADOS DEL TRATAMIENTO
CONTENIDO MÍNIMO
• Objeto, duración, naturaleza y la finalidad del tratamientos
• Tipo de datos personales y categorías de interesados
• Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones
documentadas del responsable
• Condiciones para que el responsable pueda dar su autorización previa, específica o general, a
las subcontrataciones
• Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los
interesados
Los encargados del tratamiento deberán mantener un registro de actividades de tratamiento, determinar las
medidas de seguridad adecuadas, y designar (en su caso) un delegado de protección de datos.
22. EVALUACIÓN DE IMPACTO
ART. 35
Definición: PIA (Privacy Impact Assessment) : proceso mediante el cual se evalúan cuestiones relacionadas con el tratamiento de
datos de carácter personal, con la finalidad de controlar el impacto negativo que, sobre la privacidad de les persones
afectadas, puedan tener las operaciones de tratamiento.
Régimen jurídico: “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su
naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”
Casos previstos: El RGPD no establece una lista exhaustiva:
- evaluación “sistemática y exhaustiva” de aspectos personales relativos a personas físicas
- tratamiento a gran escala de las denominadas categorías especiales de datos
- observación sistemática a gran escala de áreas de acceso público
Autoridades de control: deberán determinar y publicar, la lista de los tipos de operaciones de tratamiento que estarán sujetas
a la exigencia de PIA; podrán establecer y publicar la lista de los tipos de operaciones de tratamiento que no requerirán PIA.
Con carácter general habrá que llevar a cabo una PIA si es probable que el tratamiento suponga un
alto riesgo para los derechos y libertades de las personas, especialmente si se utilizan nuevas
tecnologías, o si las operaciones de tratamiento por su naturaleza, alcance, contexto o finalidades
generan alto riesgo
23. TRANSFERENCIAS INTERNACIONALES
• Se mantienen los criterios ya establecidos en la Directiva 95/46
• El exportador de datos puede ser tanto un responsable del tratamiento, como un encargado
• Se amplían los mecanismos para aportar garantías adecuadas
• Códigos de conducta
• Certificaciones, sellos y marcas como mecanismos para ofrecer garantías adecuadas
• Normas corporativas vinculantes (se reconocen)
• Se reducen los supuestos en que se precisa de autorización expresa de la autoridad de
control
24. RÉGIMEN SANCIONADOR
• Multas administrativas: efectivas, proporcionadas y disuasorias. Los responsables del tratamiento
podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual.
• Medidas adicionales o sustitutorias de los “poderes correctivos”
o Advertencia (infracción potencial)
o Apercibimiento
o Atender ejercicio de derechos
o Adecuar los tratamientos
• Criterios para decidir la imposición, atendiendo a cada caso individual
• Cada Estado podrá decidir si impone multas administrativas al sector público
• Posibilidad de adopción de otras sanciones por parte de los Estados